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(57) Abstract 

The invention concerns a countermeasure method in an electronic component using a secret key K cryptographic algorithm with 
sixteen computing cycles to supply an encrypted message (C) from an input message (M). each cycle using first means TCo to supply an 
output information from an input information. Said method consists in applying by selection a sequence with the first means or another 
sequence with other means TCi, TC2 to a group Gl comprising the first three cycles at least and another group G4 comprising the last 
three cycles at least. Whatever the sequence, the output result of the last cycle of each group is the same for the same input message (M). 



(57) Abr^g^ 

Dans un composant 61ectronique mettant en oeuvre un algorithme cryptographique ^ c\6 secrfete (K) k seize tours de calcul pour 
foumir un message chifW (C) k partir d'un message d*entr6e (M), chaque tour utilisant des premiers moyens TCo pour foumir une donn^e 
de sortie h partir d'une donnde d'entrfc, on applique au choix une sequence avec les premiers moyens ou une autre sequence avec d'autrcs 
moyens TCi, TC2 k un groupe Gl comprenant les trois premiers tours au moins et un autre groupe G4 comprenant les trois demiers tours 
au moins. Quelle que soit la sequence, le r£sultat en sortie du dernier tour de chaque groupe est le mftme pour un m6me message d*entr6e 
(M). 
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PROCgDfi DE CONTRE-MESURE DANS UN C0MP08ANT 
£:iiECTRONIQUE METTANT EN OEUVRE UN ALGORITHMS DE 
GRYPT06RAPHIE A CLE SECRETE 



La presents invention concerne un procede de 
contre-mesure dans un composant §lectronique mettant en 
oeuvre un algorithitie de cryptographie a cl§ secrete, 
lis sont utilises dans des applications oil I'acces a 
5 des services ou ^ des donnfees est s^v^rement contrdlfe, 
lis ont une architecture formee autour d'un 
microprocesseur et de inemoires, dont une mexnoire 
programme qui contient la cl6 secrSte, 

Ces composants sont notamment utilises dans les 

10 cartes a puce^ pour certaines applications de celles- 
ci, Ce sont par exemple des applications d'acc^s & 
certaines banques de donnees, des applications 
bancaires, des applications de tel^peage, par exemple 
pour la television, la distribution d' essence ou encore 

15 le passage de peages d'autoroutes, 

Ces composants ou ces cartes mettent done en oeuvre 
un algorithme de cryptographie t clfe secrfete, dont le 
plus connu est 1' algorithme DES (pour Data Encryption 
Standard dans la litterature anglo-saxonne) . D'autres 

20 algorithmes a ol€ secrSte existent, comme 1' algorithme 
RC5 ou encore 1' algorithme COMP128. Cette liste n'est 
bien sQr pas exhaustive. 

De maniere genferale et succincte, ces algorithmes 
ont pour fonction de calculer un message chiffre a 

25 partir d'un message appliqu§ en entree (a la carte) par 
un systems hdte (serveur, distributeur bancaire..-) et 
de la cle secrete contenue dans la carte, et de fournir 
en retour au systeme hote ce message chiffre, ce qui 
permet par exemple au systSme h6te d' authentif ier le 

30 composant ou la carte, d'echanger des donnees. . . 
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Or il est apparu que ces composants ou ces cartes 
sont vulnerables a des attaques consistant en une 
analyse dif f ferentielle de consommation en courant et 
qui permettent a des tiers mal intent ionnes de trouver 
la cle secrete. Ces attaques sont appel^es attaques 
DPA, acronyme anglo-saxon pour Differential Power 
Analysis . 

Le principe de ces attaques DPA repose sur le fait 
que la consommation en courant du microprocesseur 
executant des instructions varie selon la donn^e 
manipulSe. 

Notamment, une instruction du microprocesseur 
manipulant un bit de donnee genere deux prof i Is de 
courant differents selon que ce bit vaut "1" ou "0". 
Typiquement, si 1 ' instruction manipule un "0", on a a 
cet instant d^ execution une premiere amplitude du 
courant consomme et si 1 ' instruction manipule un "1", 
on a une deuxieme amplitude du courant consomme, 
differente de la premiere. 

Les caracteristiques des algorithmes de 
cryptographie sont connues : calculs effectues, 
paramStres utilises. La seule inconnue est la cle 
secrete contenue en memoire programme. Celle-ci ne peut 
etre deduite de la seule connaissance du message 
applique en entree et du message chiffre fourni en 
retour . 

Cependant, dans un algorithme de cryptographie, 
certaines donnfees calculSes dependent seulement du 
message appliqu6 en clair en entree de la carte et de 
la cl6 secrSte contenue dans la carte. D'autres donnees 
calculees dans 1' algorithme peuvent aussi etre 
recalculees seulement a partir du message chiffre 
(generalement fourni en clair en sortie de la carte 
vers le systfeme h5te) et de la cle secrete contenue 
dans la carte. Plus precisement, chaque bit de ces 
donnees particulieres peut etre determine a partir du 
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message d' entree ou de sortie, et d'un nombre limit e de 
bits particuliers de la cle. 

Ainsi, a chaque bit d'une donnee particulidre, 
correspond une sous-cle formee par un groupe 
5 particulier de bits de la cle. 

Les bits de ces donnfees particuliSres qui peuvent 
§tre predites sent appelSs dans la suite, bits cibles. 

L'idee de base de I'attaque DPA est ainsi 
d'utiliser la difference du profil de consommation en 

10 courant d'une instruction selon qu'elle manipule un "1" 
ou un "0" et la possibilite de calculer un bit cible 
par les instructions de I'algorithme a partir d'un 
message connu d' entree ou de sortie et d'une hypothese 
sur la sous-cle correspondante. 

15 Le principe de I'attaque DPA est done de tester une 

hypothese de sous-cle donnee, en appliquant sur un 
grand nombre de courbes de mesure en courant, chacune 
relative Sl un message d' entree connu de I'attaquant, 
une fonction booleenne de selection, fonction de 

20 1 'hypothese de sous-cle, et definie pour chaque courbe 
par la valeur prfedite pour un bit cible. 

En faisant une hypothese sur la sous-cle concernee, 
on est en effet capable de predire la valeur "0" ou "1" 
que va prendre ce bit cible pour un message d' entree ou 

25 de sortie donne. 

On peut alors appliquer comme fonction booleenne de 
selection, la valeur predite "0" ou "1" par le bit 
cible pour 1' hypothese de sous-clS consid^ree, pour 
trier ces courbes en deux paquets : un premier paquet 

30 . regroupe les courbes qui ont vu la manipulation du bit 
cible a "0" et un deuxiSme paquet regroupe les courbes 
qui ont vu la manipulation du bit cible a "1" selon 
l'hypoth6se de sous-cle. En faisant la moyenne de 
consommation en courant dans chaque paquet, on obtient 

35 une courbe de consommation moyenne M0(t) pour le 
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premier paquet et une courbe de consommation moyenne 
Ml(t) pour le deuxieme paquet. 

Si I'hypothese de sous-cle est juste, le premier 
paquet regroupe reellement toutes les courbes parmi les 
5 N courbes qui ont vu la manipulation du bit cible a "0" 
et le deuxiSme paquet regroupe rfeellement toutes les 
courbes parmi les N courbes qui ont vu la manipulation 
du bit cible a "1". La courbe moyenne de consommation 
MO(t) du premier paquet aura alors une consommation 

10 moyenne partout sauf aux moments de 1' execution des 
instructions critiques, avec un profil de consommation 
en courant caracteristique de la manipulation du bit 
cible a "0" (profilQ) • En d'autres termes, pour toutes 
ces courbes tous les bits manipules ont eu autant de 

15 chances de valoir "0" que de valoir "1", sauf le bit 
cible qui a toujours eu la valeur "0". Ce qui peut 
s'ecrire : 

M0(t)=[(profilQ+profili)/2l^^tci + [P^ofilol^ci soit 

MO(t)KVmtlt:^tci [P^ofiloltci 
20 oa tci represente les instants critiques, auxquels une 

instruction critique a 6te executee. 

De mSme, la courbe moyenne de consommation Ml(t) du 

deuxieme paquet correspond a une consommation moyenne 

partout sauf aux moments de 1' execution des 

25 instructions critiques, avec un profil de consommation 

en courant caracteristique de la manipulation du bit 

cible a "1" (profil^) • On peut 6crire : 

Ml(t)=[(profilo+profil-L)/2]t^t^i + Iprofil^ltci soit 

Ml(t)=[Vmt]t;ttci ^ [PJ^ofi^lltci 
3 0 On a vu que les deux profils profilQ et profil-j^ ne 

sont pas Sgaux- La difference des courbes M0(t) et 

Ml(t) donne alors un signal DPA(t) dont I'amplitude est 

fegale a prof ilQ-prof il^ aux instants critiques tci 

d' execution des instructions critiques manipulant ce 

35 bit, c'est a dire, dans I'exemple represents sur la 

figure 1, aux endroits tcO a tc6 et dont 1' amplitude 
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est a peu prds 6gale a z€ro en dehors des instants 
critiques. 

Si I'hypothese de sous-cle est fausse, le tri ne 
correspond pas a la r^alite. Statistiquement , il y a 
alors dans chaque paquet, autant de courbes ayant vu 
reellement la manipulation du bit cible a "O" que de 
courbes ayant vu la manipulation du bit cible a "l". La 
courbe moyenne r^sultante MO(t) se situe alors autour 
d'une valeur moyenne donnfee par (prof ilQ+prof il^) /2=Vm, 
car pour chacune des courbes, tous les bits manipulSs, 
y compris le bit cible ont autant de chances de valoir 
"0" que de valoir "1". 

Le mSme raisonneraent sur le deuxiSme paquet conduit 
a une courbe moyenne de consoitimation en courant Ml(t) 
dont 1' amplitude se situe autour d'une valeur moyenne 
donn^e par (prof ilQ+prof il^) /2=Vm. 

Le signal DPA(t) fourni par la difference MO(t)- 
Ml(t) est dans ce cas sensiblement 6gal a zero. Le 
signal DPA(t) dans le cas d'une hypothese de sous-cle 
fausse est represents sur la figure 2. 

Ainsi I'attaque DPA exploite la difference du 
profil de consommation en courant pendant 1' execution 
d'une instruction suivant la valeur du bit manipul€, 
pour effectuer un tri de courbes de consommation en 
courant selon une fonction de selection booleenrie pour 
une hypothese de sous-cle donnSe. En effectuant une 
analyse dif f 6rentielle de la consommation moyenne en 
courant entre les deux paquets de courbes obtenus, on 
obtient un signal d' information DPA(t) . 

Le deroulement d'une attaque DPA consiste alors 
globalement : 

a- a tirer N messages alSatoires (par exemple N 
€gal 1000) ; 

b- a faire ex6cuter I'algorithme par la carte pour 
chacun des N messages aleatoires, en relevant la courbe 
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de consommation en courant S chaque fois (mesur^e sur 
la borne d' alimentation du composant) ; 

c- a faire une hypothese sur une sous-cle; 
d- a prSdire, pour chacun des messages al§atoires, 
la valeur prise par un des bits cibles dont la valeur 
ne depend que des bits du message (d'entrfee ou de 
sortie) et de la sous-cl6 prise en hypothdse, pour 
obtenir la fonction de sfelection boolfeenne; 

e- a trier les courbes selon cette fonction de 
selection boolfeenne (c'est a dire selon la valeur "0" 
ou "1" prSdite pour ce bit cible pour chaque courbe 
sous 1' hypothese de sous-cl€) ; 

f- a calculer dans chaque paquet la courbe 
r^sultante de consommation moyenne en courant; 

g- a effectuer la difference de ces courbes 
moyennes, pour obtenir le signal DPA(t) . 

Si 1' hypothese sur la sous-cle est juste, la 
fonction de selection booleenne est juste et les 
courbes du premier paquet correspondent rSellement aux 
courbes pour lesquelles le message appliqu§ en entree 
ou en sortie a donn§ un bit cible a "0" dans la carte 
et les courbes du deuxieme paquet correspondent 
r6ellement aux courbes pour lesquelles le message 
applique en entr4e ou en sortie a donnfe un bit cible a 

"1" dans la carte. 

on est dans le cas de la figure 1 : le signal 
DPA(t) n'est done pas nul aux instants tcO a tc6 
coirrespondant a 1' execution des instructions critiques 
(celles qui manipulent le bit cible). II suffit qu'il y 
ait au moins un instant critique dans la p6riode 

d' acquisition. 

On notera que I'attaquant n'a pas besoin de 
connaltre avec precision les instants critiques. 

Si I'hypothfese de sous-cle n'est pas juste, le tri 
ne correspond pas a la rSalite et on a alors dans 
chaque paquet autant de courbes correspondent en 
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r§alit6 a un bit cible a "0" que de courbes 
correspondant a un bit cible a "1". Le signal DPA(t) 
est sensiblement nul partout (cas represents a la 
figure 2). II faut retourner a I'itape c- et faire une 
nouvelle hypothfese sur la sous-cl6. 

Si I'hypothSse s'avfere juste, on peut passer a 
I'gvaluation d'autres sous-cl§s, jusqu'a avoir 
reconstituS la cl6 au maximum. Par exemple, avec un 
algorithme DES, on utilise une cl& de 64 bits, dont 
seulement 56 bits utiles. Avec une attaque DPA, on est 
capable de reconstituer au moins 48 bits des 56 bits 
utiles. 

La pr6sente invention a pour but de mettre en 
oeuvre dans un composant 61ectronique, un precede de 
contre-mesure qui entralne un signal DPA(t) nul, m§me 
dans le cas oQ I'hypothese de sous-cle est juste. 

De cette faepon, rien ne perinet de distinguer le cas 
de I'hypothese de sous-cle juste des cas d' hypotheses 
de sous-cle fausses. Par cette contre-mesure, le 
composant §lectronique est par6 centre les attaques 
DPA. 

Selon 1' invention, le procfede de contre-mesure 
permet de rendre imprfedictibles les bits cibles, c'est 
a dire les donn^es manipulfees par des instructions 
critiques. 

En effet, du fait de la contre-roesure, pour chaque 
message appliquS en entree, un bit cible manipule par 
une instruction critique prend la valeur 0 ou 1 avec 
une egale probability. Dans chaque paquet de courbes 
que fera I'attaquant sous une hypothSse de sous-cl6 
donn6e, au moyen de la fonction de s&lection boolSenne 
qu'il aura calcul^e, on aura autant de courbes ayant 
rSellement manipulS un bit cible "O" que de courbes 
ayant rSellement manipul€ un bit cible a "i". Le signal 
DPA(t) sera tou jours nul, que I'hypothfese de sous-cl6 
soit juste ou non. 
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Dans 1' invention, on s'intSresse plus 
particuliSrement a 1' algorithme de cryptographie DES. 

Un tel algorithme comprend seize tours de calcul 
identiques. 

Dans un tel algorithme, on a pu mettre en Evidence 
que les donnees prSdictibles par un attaquant se 
situent au premier tour et au • dernier tour, et que les 
instructions critiques au sens de I'attaque DPA se 
situent dans les trois premiers tours et les trois 

derniers tours. 

Dans 1' invention, on a plus particuliSrement 
cherchg un moyen de rendre impr4dictibles les donnSes 
manipulfees par ces instructions critiques des troxs 
premiers et trois derniers tours, tout en obtenant le 
bon message chiffrS en sortie. 

Un but de 1' invention est done de rendre 
impredictibles les donnees manipul4es par les 
instructions critiques, tout en obtenant le bon 
rfesultat final (message chiffr6 C) . 

une solution a ces diffferents problemes techniques 
a M trouv6e dans la formation d'un groupe (Gl) 
comprenant au moins les trois premiers tours et d'un 
autre groupe (G4) comprenant au moins les trois 
derniers tours, et dans I'utilisation dans ces groupes 
de moyens pour rendre impredictibles les donnees 
manipul6es par les instructions critiques contenues 

dans ces tours. 

Selon 1' invention, les r#sultats en sortie de 

chaque groupe sont justes. 

Telle que caractfer isee, 1' invention concerne done 
un proc^de de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 
cryptographique a cl§ secrSte pour calculer un message 
chiffrS a partir d'un message d'entr^e, la . mise en 
oeuvre de 1' algorithme comprenant seize tours de 
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calcul, chaque tour utilisant des premiers moyens pour 
fournir une donnfee de sortie a partir d'une donnee 
d' entree, la donnfee de sortie et/ou des donnfees 
dSrivSes §tant manipulees par des instructions 
critiques dans les trois premiers et les trois derniers 
tours. Selon 1' invention, on forme un groupe comprenant 
les trois premiers tours au moins et un autre groupe 
comprenant les trois derniers tours au moins, et on 
associe a chacun de ces groupes une premiSre sequence 
utilisant les premiers moyens dans chaque tour et une 
deuxieme sequence utilisant d'autres moyens dans 
certains tours au moins, les dites premiere et deuxieme 
sequences 6tant telles qu'elles fournissent un m#me 
r^sultat en sortie du dernier tour de chaque groupe 
pour un m6me message d' entree donne, le choix de la 
sequence a executer dans les groupes concernfes fetant 

fonction d'une loi statistique de probability un demi, 
pour rendre impredictibles toutes les donnSes 

manipulees par les dites instructions critiques. 

Dans un mode de realisation, on forme quatre 

groupes de quatre tours consfecutifs chacun. 

Dans un autre mode de realisation, on forme deux 

groupes comprenant respectivement les trois premiers et 

les trois derniers tours. 

D'autres caractSristiques et avantages de 

I'invention sont detailles dans la description suivante 

faite a titre indicatif et nullement limitatif et en 

reference aux dessins annexes, dans lesquels : 

- les figures 1 et 2 deja decrites representent le 
signal DPA(t) que I'on peut obtenir en fonction d'une 
hypothese sur une sous-cie de la cie secrete K, selon 

une attaque DPA; 

- les figures 3 et 4 sont des organ igrammes 
representant les premiers tours et les derniers tours 
de I'algorithme DES; 
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- la figure 5 est un schema-bloc de 1' operation 
SBOX utilisSe dans I'algorithme DES; 

- la figure 6 montre un exemple de table de 
constante felSmentaire a une entrSe et une sortie 
utilis^e dans 1' operation SBOX; 

- la figure 7 reprSsente un premier exemple 
d'organigramme d' execution du DES avec un procfed^ de 
contre-mesure selon 1' invention; 

- la figure 8 est un organigramme des premiers 
tours du DES selon une deuxifeme sequence du proc6d6 de 
contre-mesure selon le premier exemple represents a la 

figure 7; , 

- Les figures 9 et 10 representent respect ivement 
une deuxifeme et une troisieme tables de constantes 
eiementaires utilis6es dans 1' invention; 

- la figure 11 represente un deuxietne exemple 
d' organigramme d' execution du DES avec un precede de 
centre mesure selon 1' invention; 

- les figures 12 et 13 sont des organigrammes des 
premiers tours de DES respectivement selon la deuxieme 
sequence et la premi&re sequence du proc6d6 de contre- 
mesure selon le deuxifeme exemple represents a la figure 

11; 

- les figures 14 et 15 sont des organigrammes 
relatifs Ik un troisiSme mode d' application du procSdS 
de contre-mesure selon 1' invention; 

- la figure 16 represente une troisiSme table de 
constantes elementaire utilisSe dans ce quatriSme mode 
d' application de 1' invention; 

- la figure 17 represente un organigramme 
d' execution du DES selon une variante du troisieme mode 
d' application du precede de contre-mesure; selon 

1 ' invention ; et 

- la figure 18 represente un schema-bloc simplifie 
d'une carte a puce comportant un composant eiectronique 
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dans lequel le procfede de contre-mesure selon 
1' invention est mis en oeuvre. 

L'algorithme cryptographique a cl6 secrete DES 
(dans la suite on parlera plus simplement du DES ou de 
I'algorithme DES) comporte 16 tours de calcul, not6s Tl 
a T16, comme repr^sent^ sur les figures 3 et 4 . 

Le DES d§bute par une permutation initiale IP sur 
le message d' entree M (figure 3). Le message d'entr4e M 
est un mot f de 64 bits. AprSs permutation, on obtient 
un mot e de 64 bits, que I'on coupe en deux pour former 
les paramdtres d' entree LO et RO du premier tour (Tl) . 
LO est un mot d de 32* bits contenant les 3 2 bits de 
poids forts du mot e. RO est un mot h de 32 bits 
contenant les 32 bits de poids faibles du mot e. 

La cle secrete K, qui est un mot q de 64 bits subit 
elle-m§me une permutation et une compression pour 
fournir un mot r de 56 bits. 

Le premier tour comprend une operation EXP PERM sur 
le paramStre RO, consistant en une expansion et une 
permutation, pour fournir en sortie un mot 1 de 48 
bits. 

Ce mot 1 est combinfe a un parametre Kl, dans une 
operation de type OU EXCLUSIF notee XOR, pour fournir 
un mot b de 48 bits. Le paramfetre Kl qui est uri mot m 
de 48 bits est obtenu du mot r par un decalage d'une 
position (operation not^e SHIFT sur les figures 3 et 4) 
suivi d'une permutation et d'une compression (op§ration 

notee COMP PERM) . 

Le mot b est appliqu6 a une operation notfee SBOX, 
en sortie de laquelle on obtient un mot a de 32 bits. 
Cette operation particuliSre sera expliqufee plus en 
detail en relation avec les figures 5 et 6. 

Le mot a subit une permutation P PERM, donnant en 
sortie le mot c de 32 bits. 
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Ce mot c est combine au parametre d' entree LO du 
premier tour Tl, dans une operation logique de type OU 
EXCLUSIF, not§e XOR, qui fournit en sortie le mot g de 
32 bits. 

Le root h (=R0) du premier tour fournit le param&tre 
d^entrSe H du tour suivant (T2) et le mot g du premier 
tour fournit le paramStre d' entree Rl du tour suivant. 
Le mot p du premier tour fournit 1' entree r du tour 
suivant. 

Les autres tours T2 & T16 se d^roulent de fa^on 
similaire, excepte en ce qui concerne 1' operation de 
d^calage SHIFT qui se fait sur une ou deux positions 
selon les tours consideres. 

Chaque tour Ti revolt ainsi en entree les 
param&tres Li-1, Ri-1 et r et fournit en sortie les 
paramStres Li et Ri et r pour le tour suivant Ti+1. 

En fin d'algorithme DES (figure 4) , le message 
cJiiffre est calculi a partir des param&tres L16 et R16 
fournis par le dernier tour T16. 

Ce calcul du message chiffrfe C comprend en pratique 
les operations suivantes : 

- formation d'un mot e' de 64 bits en inversant la 
position des mots LI 6 et R16, puis en les concatenant; 

- application de la permutation IP~^ inverse de 
celle de d§but de DES, pour obtenir le mot f de 64 
bits formant le message chiffr6 C« 

L'opferation SBOX est d6taill6e sur les figures 5 et 
6. Elle comprend une table de constantes TCq pour 
fournir une donnee de sortie a en fonction d'une donnfee 
d'entrfie b. 

En pratique^ cette table de constantes TCq se 
presente sous la forme de huit tables de constantes 
elementaires TCqI a TCq8^ chacune recevant en entrfee 
seulement 6 bits du mot b, pour fournir en sortie 
seulement 4 bits du mot a. 
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Ainsi, la table de constante elementaire TCqI 
representee sur la figure 6 regoit comme donnee 
d' entree, les bits bl a b6 du mot b et fournit comme 
donnee de sortie les bits al a a4 du mot a. 
5 En pratique ces huit tables de constantes 

gl§mentaires TCqI a TCq8 sont memorisees en mfemoire 
programme du composant 61ectronique. 

Dans 1' operation SBOX du premier tour Tl, un bit 
particulier de la donnfie a de sortie de la table de 
10 constante TCq depend de seulement 6 bits de la donnee b 
appliqu^e en entrfee, c'est a dire de seulement 6 bits 
de la cle secrete K et du message d' entree (M) . 

Dans 1' operation SBOX du dernier tour T16, un bit 
particulier de la donnee a de sortie de la table de 
15 constante TCq peut etre recalcule a partir de seulement 
6 bits de la cle secrete K et du message chif fr^ (C) . 

Or si on reprend le principe de I'attaque DPA, si 
on choisit comme bit cible un bit de la donnee de 
sortie a, il suffit de faire une hypothese sur 6 bits 
20 de la cl€ K, pour prfedire la valeur d'un bit cible pour 
un message d' entree (M) ou de sortie (C) donnfe. En 
d'autres termes, pour le DES, il suffit de faire une 
hypothese sur une sous-cle de 6 bits, 

Dans une attaque DPA sur un tel algorithme pour un 
25 bit cible donne, on a done a discriminer une hypothese 
de sous-cle juste parmi 64 possibles, 

Ainsi^ en prenant seulement huit bits du mot a 
comme bits cibles, (un bit de sortie par table de 
constantes 616mentaire TCqI a TCq8) , on peut dfecouvrir 
30 jusqu'S 6x8=48 bits de la cl& secrete, en faisant des 
attaques DPA sur chacun de ces bits cibles. 

Dans le DES, on trouve done des instructions 
critiques au sens des attaques DPA au debut de 
1' algorithme et a la fin, 
35 Au debut de 1' algorithme DES, les donnees qui 

peuvent etre predites a partir d'un message d' entree M 
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et d'une hypothese de sous-cle, sont les donnees a et g 
calculees dans le premier tour (Tl) . 

La donnee a du premier tour Tl (figure 3) est la 
donnee de sortie de 1' operation SBOX du tour considSre. 
5 La donnee g est calculee a partir de la donnee a, par 
permutation (P PERM) et operation OU EXCLUSIF avec le 
paraxnetre d' entree LO. 

En fait, la donn6e c du premier tour, est une 
donnSe derivee de la donnfie a du premier tour. La 
10 donnee d6riv6e c correspond S une simple permutation de 
bits de la donnee a. 

La donnee 1 du deuxieme tour est une donnee derivee 
de la donnee g du premier tour, car elle correspond a 
une permutation des bits du mot g, certains bits du mot 
15 g etant en outre dupliqu^s. 

Connaissant a et g, on peut aussi connaitre ces 
donnees d§riv6es, 

Les instructions critiques du dSbut de I'algorithme 
sont les instructions critiques qui manipulent soit la 
20 donnfee que I'on peut prfedire, comme la donn6e a du 
premier tour, soit une donnee d6riv6e. 

Les instructions critiques manipulant la donnee a 
du premier tour Tl ou la donnee derivee c sont ainsi 
les instructions de fin de 1' operation SBOX, de 
25 1' operation P PERM et de debut de 1' operation XOR du 
premier tour Tl. 

Les instructions critiques manipulant la donnee g 
ou des donnees d§riv6es sont toutes les instructions de 
de fin d' operation XOR de fin du premier tour Tl 
3 0 jusqu'aux instructions de d§but d' operation SBOX du 
deuxifeme tour T2 , et de d6but de 1' operation XOR en fin 
du troisidme tour T3 ( L2 = h(T2) = g(Tl) )• 

En fin d'algorithme DES, les donnees qui peuvent 
Stre predites a partir d'un message chiffr6 C et d'une 
35 hypothese de sous-cle, sont la donnee a du seiziSme 
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tour T16 et la donnee L15 egale au mot h du quatorzidme 
tour T14 . 

Les instructions critiques manipulant la donnee a 
du seizieme tour ou des donnees derivees sont les 
5 instructions du seizieme tour de fin d' operation SBOX, 
de 1' operation de permutation P PERM et de dfibut 
d' operation XOR. 

Pour la donnfee L15, les instructions critiques 
manipulant cette donnfee ou des donnees derivees sont 

10 toutes les instructions depuis les instructions de fin 
d' operation XOR du quatorzi&me tour T14, jusqu'aux 
instructions de debut d' operation SBOX du quinzieme 
tour T15, plus les instructions de debut d' operation 
XOR du seizieme tour T16. 

15 Le proc6d6 de contre-mesure selon 1' invention 

applique a cet algorithme DES consiste a avoir, pour 
chaque instruction critique, autant de chances que 
1 ' instruction critique xtianipule une donnSe que son 
complement. Ainsi, quel que soit le bit cible sur 

20 lequel I'attaque DPA peut etre faite, on a autant de 
chances que les instructions critiques qui manipulent 
ce bit, manipulent un "1" ou un "0". 

En pratique, ceci doit etre vrai pour chacun des 
bits cibles potentiels : en d'autres termes, 

25 I'attaquant ayant le choix entre plusieurs attaques 
possibles, c'est a dire entre plusieurs fonctions de 
selection booleenne possibles pour effectuer son tri de 
courbes, pour une hypothese de sous-cle donnSe, la mise 
en oeuvre du proc6de de contre-mesure selon 1' invention 

30 doit s'attacher a ce que les donn§es manipulees par 
chacune des instructions critiques, prennent 
aleatoirement, une fois sur deux, une valeur ou son 
complement. En ce qui concerne 1' application du proc§d6 
de contre-mesure selon 1' invention a I'algorithme DES, 

3 5 il faut done appliquer la contre-mesure aux 
instructions critiques de debut de DES et aux 
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instructions critiques de fin de DES, pour etre 
totalement protege. 

Dans le DES^ toutes les donnees manipulees par des 
instructions critiques sont une donnee de sortie ou des 
5 donnfees derivees d'une donnee de sortie d'une operation 
SBOX. 

En effet, en debut de DES, les donnSes qui peuvent 
etre pr6dites sont les donnfees a et g du premier tour 
Tl, La donnSe a est la donnee de sortie de 1' operation 

10 SBOX du premier tour. La donnfee g est calculSe Sl partir 
de la donnfee a, puisque g = P PERM (a) XOR LO. g est 
done une donnee derivSe de la donnee. de sortie a de 
1' operation SBOX du premier tour. Ainsi, toutes les 
donnees manipulees par les instructions critiques de 

15 debut de DES decoulent directement ou indirectement de 
la donnee de sortie a de 1' operation SBOX du premier 
tour. 

En ce qui concerne la fin de DES, les donnees qui 
peuvent dtre predites sont la donnee a du seizieme tour 
20 T16 et la donnee g du quatorzieme tour T14, g etant 
ggale h L15. 

La donnSe a est la donnSe de sortie de 1' operation 
SBOX du seizieme tour T16. 

Quant a la donnee L15, elle se calcule, dans 
25 1' execution normale de 1' algorithms DES, a partir de la 
donnee de sortie a de 1' operation SBOX du quatorzieme 
tour T14 : L15 = P PERM(a) XOR L14. 

Si on rend impredictibles les donnfees de sortie a 
de ces operations SBOX particulieres, on rend aussi 
30 impredictibles toutes les donnSes derivfees : on rend 
done imprSdictibles toutes les donn6es manipulees par 
les instructions critiques de I'algorithme DES. Si on 
considdre que ces operations SBOX constituent des 
premiers raoyens pour fournir une donnee de sortie S==a a 
35 partir d'une donnee d' entree E=b, le precede de centre- 
mesure applique a I'algorithme DES consiste a utiliser 
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d'autres moyens pour rendre impredictibles la donnee de 
sortie, en sorte que cette donnee de sortie et/ou des 
donnSes derivees manipulees par les instructions 
critiques soient toutes impredictibles. 
5 Salon 1' invention, on forme un groupe forme des 

trois premiers tours au mo ins et un autre groupe formfe 
des trois derniers tours au moins. Ces groupes 
contiennent done tous les tours comprenant des 
instructions critiques. 

10 On associe a ces deux groupes une premifire sequence 

utilisant les premiers moyens pour tous les tours et 
une deuxieme sequence utilisant les autres moyens pour 
certains tours au moins. 

Dans les autres tours qui ne sont pas dans ces 

15 groupes, on peut continuer a utiliser les premiers 
moyens . 

L' utilisation de ces autres moyens est telle que le 
resultat en sortie, c'est a dire, le message chiffrS 
reste juste. 

20 Ces autres moyens peuvent comprendre plusieurs 

moyens differents. lis sont tels qu'a I'une et/ou 
1' autre donnee parmi les donnees d' entree et de sortie 
de premiers moyens, ils font correspondre la donnee 
complementee . 

25 Ainsi, considerant un grand nombre d' execution, les 

groupes utiliseront en moyenne une fois sur deux la 
premi&re sequence, qui est la sequence normale de 
I'algorithme, et une fois sur deux 1' autre sequence. 
Les donnees manipulees par les instructions critiques 

30 dans ces groupes, correspondant a certains rSsultats 
intermfediaires, seront done en moyenne compl^mentges 
une fois sur deux. Sur un grand nombre de courbes on 
aura done statistiquement autant de chances qu'un bit 
cible donne soit l ou O. 

35 £> La figure 7 represente un premier mode de 

realisation de 1' invention. 
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Dans ce mode de realisation, on repartit les seize 
tours de I'algorithme DES en quatre groupes Gl a G4 de 
quatre tours successifs. Le groupe Gl comprend ainsi 
les tours Tl a le groupe G2, les tours T5 S T8, le 

5 groupe 03, les tours T9 a T12 et le groupe G4, les 
tours T13 a T16. 

A chaque groupe, on associe deux sSguences. Une 
premiere sequence SEQA consiste a utiliser les premiers 
moyens TCq pour chaque tour. Une deuxiSme sequence SEQB 
10 consiste S utiliser d'autres moyens pour certains tours 
au mo ins. 

Dans I'exemple represente, ces autres moyens 
comprennent des deuxiemes moyens TC2 et des troisiemes 
moyens TC^^. 

15 Les deuxiemes moyens TC2 sont utilises dans le 

deuxieme tour et I'avant-dernier tour de chaque 
groupe : c'est a dire, dans T2 , T3 de Gl, T6, T7 de G2, 
TIO, Til de G3 et T14 et T15 de G4. 

Les troisiemes moyens TC^j^ sont utilises dans le 

20 premier tour et le dernier tour de chaque groupe. C'est 
a dire dans Tl, T4 de Gl, T5, T8 de G2 , T9, T12 de G3 
et T13, T16 de G4 . 

En pratique, ces differents moyens sont des tables 
de constantes* les premiers moyens correspondent a la 

25 premiere table de constantes TCq, correspondant a 
1' execution normale du DES. Les autres moyens TC^ et 
TC2 se d^finissent par rapport a cette premidre table 
de constantes TCq, par complementation. 

Les deuxidmes moyens TC2 sont tels que pour le 

30 complement /E de la donnee d' entree E, ils fournissent 
le complement de la donnee de sortie S des premiers 
moyens TCq. Un exemple d'une deuxieme table el6mentaire 
TC2I correspondant a la premifere table de constante 
elementaire TCqI est represente sur la figure 9- On 

35 notera que la notation du complement /E utilisee dans 
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le texte, correspond la notation avec une barre au- 
dessus de la donnee complementee sur les desslns. 

Les troisiexnes xnoyens sont tels que pour la donnee 
d' entree E, ils fournissent le complSment /S de la 
5 donnSe de sortie S des premiers xnoyens TCq^ Un exemple 
d'une troisieine table 616mentaire TC^l correspondant a 
la premiSre table de constante 61§inentaire TCqI est 
represents sur la figure 10. 

Le programme de calcul consiste alors au d§but de 

10 1' execution de I'algorithme, a tirer une valeur 
alSatoire RNDl egale a 0 ou a 1, puis a tester cette 
valeur RNDl- Dans 1' exemple, si RNDl vaut 1, on 
effectue le calcul en utilisant la deuxieme sequence 
SEQB pour chaque groupe Gl a G4 . 

15 Si RNDl vaut 0, on effectue le calcul en utilisant 

la premidre sequence SEQA pour chaque groupe. 

Que I'on utilise la premi&re ou la deuxifeme 
sequence, on obtient, Sl la sortie de chaque groupe, le 
resultat juste pour les parametres de sortie. Ainsi, 

20 les parametres de sortie L4 et R4 du premier groupe Gl, 
L8 et R8 du deuxieme groupe G2, L12 et R12 du troisieme 
groupe G3, L16 et R16 du quatrieme groupe G4 sont 
justes quelle que soit la sequence utilises. 

Quand on a effectue tous les tours, on obtient les 

25 parametres justes L16 et R16 qui vont permettre de 
calculer le message chiffre C juste. 

Par centre, a 1' inter ieur des groupes, certains 
resultats intermedia ires n'ont pas les memes valeurs 
selon la sequence utilisee, mais des valeurs 

30 compiementaires, comme on va le montrer par reference 
aux figures 3 et 8. 

La figure 3 deja decrite correspond en fait a 
1 ' organigramme de calcul des quatre tours Tl, T2 , T3 et 
T4 du premier groupe Gl, dans la premiere sequence 

35 SEQA. 
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La figure 8 montre I'organigramme detaille des 
quatre tours Tl, T2 , T3 et T4 du premier groupe Gl, 
dans la deuxieme sequence SEQB. 

Dans cette deuxieme sequence, le tour Tl utilise 
5 les troisi&mes moyens TC^. En sortie de 1' operation 
SBOX, on obtient done la donnee /a (Figure 8), au lieu 
de la donnee a avec la premiere sequence SEQA (Figure 
3). 

L' operation P PERM du tour Tl qui est une simple 
10 permutation va done egalement fournir en sortie une 
donnSe complementfee /c par rapport k la sequence SEQA. 

La donnee g qui est obtenue par un OU EXCLUSIF 
entre une donnee complementee /c et une donnee non 
complementee LO, va aussi fournir en sortie une donnee 
15 complementee /g. 

Ainsi, avec les troisiemes moyens du tour Tl on 
obtient toutes les donn^es compl^ment^es suivantes, par 
rapport aux donn^es qui seraient obtenues avec la 
sequence SEQA : 
20 - dans le tour Tl : /a, /c, /g; 

- dans le tour T2 : /Rl, /h, /I, /b; 

- dans le tour T3 : /L2. 

On arrive alors aux deuxiemes moyens TC2 utilises 
dans le tour T2 . D'apres leur definition, en appliquant 

25 la donnee complementee /h, on obtient en sortie la 
donnee complementee /a. En conduisant ce raisonnement 
jusqu'a la fin du tour T4 , en remarquant qu'un OU 
EXCLUSIF entre deux donnees complementees donne un 
rfesultat non complemente (par exemple /L3 XOR /c = g 

30 dans le tour T4) , on obtient en sortie du tour T4 , les 
donnees L4, R4 non complementees. 

En outre, on constate que pour toutes les 
instructions critiques de debut de DES, les 
instructions critiques vont manipuler, de maniere 

35 alSatoire en fonction de la donn§e RNDl, les donnees ou 
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leurs coinplexnents selon que la sequence executee est la 
premiere SEQA ou la deuxidme SEQB. 

Le precede de contre-mesure, dans ce premier mode 
de realisation est done tres interessant. II ne 
5 nScessite que deux opfirations supplementaires, dans le 
programme de calcul du DES qui sont le tirage de la 
valeur al^atoire et le test de cette valeur. La mSmoire 
programme doit, elle, contenir les trois moyens 
diffferents utilises, c'est a dire les trois tables de 

10 constantes TCq, TC^^, TCg . 

En revenant a la figure 7, on pourra noter, que 
I'on n'a pas besoin de contre-mesure dans les groupes 
du milieu G2 . et G3 , puisqu'ils ne contiennent pas 
d' instructions critiques au sens attaque DPA. On 

15 pourrait done n'appliquer le procede de contre-mesure 
avec ses deux sequences SEQA et SEQB qu'au premier et 
au dernier groupe Gl et G4 . II suffirait d'appliquer 
systematiquement la premiSre sequence SEQA aux groupes 
G2 et G3, 

2 0 Mais le fait de d'appliquer le procedfe de contre- 

mesure a tous les groupes donne une coherence S 
1 ' ensemble • 

Ainsi, on associe de preference les deux sequences 
SEQA et SEOB a chacun des groupes Gl a G4 . 

25 Un deuxieme mode de realisation du procede de 

contre-mesure selon 1' invention est represents sur la 
figure 11. Ce deuxifeme mode de realisation est en fait 
une variante du premier, L'int6ret de cette variante 
est de n'utiliser comme autres moyens dans la sequence 

30 SEQB, que les deuxiemes moyens TC2 . En effet, on a vu 
que les diffferents moyens TCq, TC^, TC2 correspondent 
en pratique a des tables de constantes comprenant 
chacune huit tables de constantes elementaires, ce qui 
occupe un espace non n§gligeable en memoire programme. 

35 Cette variante consiste done a utiliser uniquement 

les deuxiemes moyens TC2 dans la sequence SEQB. Pour 
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cela, on prevoit dans le programme de calcul des 
premiers et dernier s tours de chaque groupe, une 
operation supplementaire CP, pour coinplSmenter la 
donnSe d'entrfee appliquee aux deuxiSmes moyens. Cette 
operation supplementaire CP est en pratique un OU 
exclusif de la donn^e d' entree avec des 1 logiquies. Si 
on se reporte a la figure 12 representant 
I'organigramme d6taill6 de la deuxi&me sequence SEQB de 
calcul des quatre tours Tl S T4 du premier groupe Gl, 
il s'agit de complementer la donnee b avant de 
I'appliquer en entree de 1' operation SBOX des tours Tl 
et T4 . Comme les deuxiemes moyens complementent 
1' entree, 1' operation de complementation CP plus les 
deuxiemes moyens TC2 equivalent aux troisiemes moyens 
TC^ utilises dans le premier mode de realisation de 
1^ invention, c'est a dire a une donnee non compl6ment§e 
en entree. 

Mais pour que le proc6d§ de contre-mesure selon ce 
deuxiSme mode de realisation soit efficace, il faut que 
le nombre d' instructions soit exactement le meme quel 
que soit la sequence de calcul utilisee. En effet si 
une difference quelconque existait entre les deux 
sequences SEQA et SEQB possibles, il y aurait alors une 
possibilite d'attaque DPA fructueuse. 

Pour cette raison et comme represents sur la* figure 
13, on prevoit dans les tours Tl et T4 de la premiere 
sequence SEQA, une operation ID de recopie ^ 
I'identique, qui consiste en un OU exclusif avec des O 
logiques en entree de 1' operation SBOX, pour ne pas 
modifier la donnee d'entrfee tout en appliquant les 
m§mes instructions que pour 1' operation supplementaire 
CP. 

De cette maniere, on a le mSme nombre 
d' instructions dans les deux sequences- 
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La figure 14 represente un troisieme mode de 
realisation du proc6d6 de contre-mesure selon 
1' invention. 

Dans ce mode de realisation, on forme un premier 
5 groupe Gl avec les trois premiers tours Tl, T2, T3 et 
un autre groupe G4 avec les trois derniers tours 
T15, T16. On associe a chague groupe une premiere 
sequence SEQA utilisant les premiers moyens TCq pour 
chaque tour et une deuxieme sequence utilisant d'autres 
10 moyens pour certains tours au moins. 

En sortie de chague groupe Gl, G4 , on obtient le 
bon rfesultat en sortie L3, R3 et L16, R16, quelle que 
soit la seqence SEQA ou SEQB utilisee. 

Les autres moyens sont dans I'exemple les 
15 troisiemes moyens TC^ deja vus en relation avec le 
premier mode de realisation et des quatriemes moyens 

Ces quatrifemes moyens TC3 sont definis par rapport 
aux premiers moyens TCq comme faisant correspondre la 

20 donnee S de sortie, au complement /E de la donnee E 
d' entree, Une table de constantes elementaire TC3I 
correspondante est representee sur la figure 16. 

Pour les autres tours non compris dans les groupes, 
c'est a dire pour les tours T4 a T13, on applique les 

25 premiers moyens TCq. 

Ainsi, apres avoir tire la valeur aleatoire RNDl, 
on teste cette valeur pour determiner la sequence S 
appliquer au premier groupe, on continue en sortie avec 
les param&tres L3, R3 calculfes, en executant les tours 

30 suivants avec les premiers moyens TCq. En fin de tour 
T13, on applique la sequence determinee par la valeur 
aleatoire RNDl au groupe G4 . On obtient les parametres 
L16, R16 qui vont servir a calculer le message chiffre 
C. 

35 La figure 15 est un organigramme detaille 

correspondant, pour la deuxidme sequence SEQB. 
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L16, R16 qui vont servir a calculer le message chiffrg 
C. 

La figure 15 est un organ igr amine detaille 
correspondant, pour la deuxifeme sequence SEQB, 
5 II apparait clairement sur cet organigrainme que 

I'on obtient des donn6es compl6ment6es (la 
complementation fetant notee par une barre au-dessus de 
la donnSe) pour toutes les instructions critiques de 
ces tours. Et les donnSes L3 et R3 en sortie du 

10 troisifeme tour ne sont pas compl§ment§es. On peut 
continuer 1' execution de 1 'algorithme, en passant au 
tour T4 auquel on applique les premiers moyens TCq 
selon 1' execution normale de I'algorithme. 

Sur cette figure, on peut remarquer que dans 

15 1' operation SBOX du troisieme tour T3 , on pourrait 
utiliser les premiers moyens TCq S la place des 
troisiemes moyens TC^^, en pr§voyant une operation 
suppl6mentaire de complementation CP en sortie de 
I'opferation SBOX- C'est une solution equivalente. 

20 II faut alors fa ire correspondre a cette operation 

supplement aire de complementation dans la sequence 
SEQB, 1' operation supplementaire de recopie a 
I'identique ID dans la sequence SEQA. 

La figure 17 represente un organigramme d' execution 

25 utilisant cette variante- Pour le troisieme tour des 
deux groupes Gl et G4 , on utilise dans la premiSre 
sequence SEQA, les premiers moyens TCq suivis en sortie 
de 1' operation supplementaire ID de recopie, ce qui est 
note T3(TCq, ID). Dans la deuxieme sequence SEQB, on 

30 utilise pour le troisieme tour les premiers moyens TCq 
suivis en sortie de 1' operation supplementaire de 
complementation CP ce qui est note TBCTCq, CP). 

Ainsi, le deuxieme mode de realisation et cette 
variante du troisieme mode de realisation montrent 

35 1 'utilisation d' operations suppiementaires en entree ou 
en sortie des differents moyens. 
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entree ou en sortie des moyens utilises, A chaque 
operation supplementaire de complementation CP dans la 
deuxiSme sequence correspond alors une operation 
supplementaire de recopie a I'identique ID dans la 
5 premiere sequence SEQA. 

La presente invention s' applique a I'algorithme de 
cryptographie i cle secr&te DES, pour lequel plusieurs 
examples d' application non limitatifs ont 6t6 dScrits. 
II s^ applique plus gSnSralement dans un algorithme de 
10 cryptographie k cle secrdte a seize tours de calculs, 
dont les instructions critiques se situent parmi les 
instructions des trois premiers ou trois derniers 
tours . 

Un coraposant electronique 1 mettant en oeuvre un 
15 precede de contre-mesure selon 1' invention dans un 
algorithme de cryptographie a cle secrete DES, comprend 
typiquement, comme represents sur la figure 18, un 
microprocesseur |iP, une mfemoire programme 2 et une 
memoire de travail 3, Pour pouvoir gerer 1 'utilisation 
2.0 des diffSrents moyens TCq, TC^^, TC2 selon 1' invention, 
qui sont, en pratique, des tables de constantes 
memorisees en memoire programme, des moyens 4 de 
generation d'une valeur aleatoire entre 0 et 1, sont 
prevus qui, si on se reporte aux organigrammes des 
25 figures 7 et 11, fourniront la valeur de RNDl a chaque 
execution du DES. Un tel composant peut tout 
particulierement §tre utilise dans une carte a puce 5, 
pour ameliorer leur inviolability- 
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REVENDICATIONS 

1, Precede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 
cryptograph ique a cle secrete (K) pour calculer un 
message chiffre (C) a partir d'un message d'entree (M) , 

5 la mise en oeuvre de 1' algorithme comprenant seize 
tours de calcul (Tl, ...^Tie), chaque tour utilisant 
des premiers moyens (TCq) pour fournir une donnee de 
sortie ^ partir d'une donn§e d' entree, la donnee de 
sortie et/ou des donnees derivSes Stant manipulfees par 

10 des instructions critiques dans les trois premiers (Tl, 
T2, T3) et les trois derniers tours (T14/ T15, T16) , 
caracterise en ce que I'on forme un groupe (Gl) 
comprenant les trois premiers tours au moins et un 
autre groupe (G4) comprenant les trois derniers tours 

15 au moins, et en ce que I'on associe a chacun de ces 
groupes (Gl et G4) une premidre sequence (SEQA) 
utilisant les premiers moyens (TCq) dans chaque tour et 
une deuxiSme sequence (SEQB) utilisant d'autres moyens 
(TC^^, TC2, TC3) dans certains tours au moins, les dites 

20 premiere et deuxieme sequences Stant telles qu'elles 
fournissent un meme r§sultat en sortie du dernier tour 
de chaque groupe pour un mSme message d' entree (M) 
donne, le choix de la sequence a executer dans les 
groupes concernes etant fonction d'une loi statistique 

25 de probabilite un demi, pour rendre impredictibles 
toutes les donnees manipulees par les dites 
instructions critiques . 

2, Precede de contre-mesure selon la revendication 
30 1, caracterisS en ce que les autres moyens sont tels 

qu'ils complfementent I'une et/ou I'autre des donn§es 
d'entree (E) et/ou de sortie (S) des premiers moyens. 
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3 • Precede de contre-mesure selon la revendication 
2, caract6rise en ce que la deuxieme sequence (SEQB) 
coinprend pour un ou plusieurs tours une operation 
supplementaire de complementation (CP) en entree ou en 
5 sortie des xnoyens utilises, et en ce qu'h chague 
operation supplementaire de complementation dans la 
deuxieme sSguence correspond une operation 
supplementaire de recopie ^ I'identique (ID) dans la 
pr emigre sequence (SEQA) • 

10 

4. Precede de contre-mesure selon I'une quelcongue 
des revendications precedentes, caracterise en ce que 
I'on forme quatre groupes (G1,...G4) de quatre tours 
successifs chacun (T1,...T4), en ce que I'on associe & 

15 chaque groupe la premiere sequence (SEQA) et en ce que 
I'on associe au raoins au premier groupe (Gl) et au 
dernier groupe (G4) la deuxieme sequence (SEQB) . 

5. Procede.de contre-mesure selon la revendication 
20 4, caracterise en ce que la deuxieme sequence (SEQB) 

est associee S chacun des groupes (G1,...G4). 

6. Procede de contre-mesure selon I'une quelconque 
des revendications 1 a 3, caracterise en ce que le 

25 premier groupe (Gl) est forme des trois premiers tours 
(Tl, T2, T3) et en ce que le dernier groupe est forme 
des trois derniers tours (T14, T15, T16) . 

7. Precede de contre-mesure selon I'une quelconque 
30 des revendications precedentes, caracterise en ce que 

le choix de la sequence a executer se fait au debut de 
1' execution de I'algorithme par tirage d'une valeur 
aieatoire (RNDl) , la sequence choisie etant celle 
utilisee dans chacun des groupes concernes. 

35 
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8. Procede de contre-mesure selon l^une quelconque 
des revendications precedentes, caracterise en ce que 
les differents inoyens sont des tables de constantes. 

5 9, Composant electronique de securite mettant en 

oeuvre le procSde de contre-mesure selon I'une 
quelconque des revendications pr6c§dentes, caract§ris6 
en ce que les differents inoyens (TCq, TC^, TC2) pour 
fournir une donnSe de sortie a partir d'une donnee 
10 d' entree sont fixes en memoire programme du dit 
composant et en ce qu'il comprend des moyens (4) de 
generation d'une valeur aleatoire (RNDl) a 0 ou a 1 
pour gerer 1 'utilisation des dits differents inoyens. 



15 10. Carte a puce comprenant un composant 

electronique de securite selon la revendication 9 . 
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